提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

纽约州已经修复了Excelsior Pass钱包的一个问题，该钱包允许用户获取和存储新冠病毒-19疫苗凭证。

NCC小组的研究人员发现，这个问题允许“在他们的NYS Excelsior Pass钱包中创建并存储假疫苗凭证，使他们能够进入物理空间（如企业和活动场所），在那里他们没有疫苗凭证是不允许的，即使他们没有收到新冠病毒-19疫苗。“

研究人员发现，该应用程序没有验证添加到其中的疫苗凭据，允许用户存储伪造的凭据。

纽约州在4月30日收到通知，但花了数月时间忽略NCC组的消息。直到研究人员在7月份联系了纽约市的网络指挥中心，他们才从纽约州得到关于这个问题的答复。

解决这个问题的补丁在8月20日发布。纽约州官员没有回应ZDNet的置评请求。

NCC集团技术总监Siddarth Adukia告诉ZDNet，疫苗凭证护照应用的广泛推出及其固有的安全和隐私影响使其成为安全研究的自然关注领域。

“在NCC集团，我们最近一直在研究许多此类应用程序。我们想衡量用户（或场馆）对这些系统的信任程度，以及使用这些系统的人的隐私会受到怎样的影响，”Adukia说。

“我们从NYS Excelsior Pass应用程序开始，因为它们是最早在美国推出的应用程序之一，我们有住在纽约州的顾问，包括我自己，他们个人负责确保系统的安全和隐私。在对应用程序和系统进行威胁建模之后，我们发现了这个问题。“

Adukia说，他的团队对移动应用程序进行了反向工程，拦截了网络流量，使他们能够检查应用程序是否存在信息泄漏等可能的问题，加密不足和其他常见的应用程序安全问题。

Adukia解释说，该应用程序允许用户扫描二维码，将凭证添加到钱包或通过设备的照片库添加凭证。

“我们发现的问题允许在钱包中存储假凭证。这两种载体都允许非技术用户扫描假凭证（由他们自己或通过网站创建），并将其作为数字疫苗凭证存储在NYS Excelsior钱包应用程序中，”Adukia补充道。

“然后，用户可以通过官方应用程序向场馆出示凭证，并尝试获得物理访问权限。许多场所不使用scanner应用程序或忽略验证结果，信任用户设备上看似合法的数据，从而允许绕过凭证检查。“

Adukia指出，商店中提供的应用程序的当前版本不易受到此问题的影响，但可能尚未更新到最新版本的应用程序的用户今天仍然可以上传伪造的疫苗凭证。

在NCC Group的技术咨询中，研究人员包括了伪造凭证的截图，这些凭证可以被钱包应用程序扫描并作为合法通行证添加。

伪造凭证的截图。

Adukia说，NCC集团的研究人员目前正在分析和讨论其他国家运营的新冠病毒-19应用程序中的问题，并计划遵循常规的披露流程任何供应商。

数百万人找到了获取假疫苗卡或其他验证的方法，使他们可以假装收到了美国许多免费的新冠肺炎疫苗中的一种。

各种新冠肺炎疫苗验证在黑暗网络上以越来越低的价格出售，根据CheckPointResearch八月份的一份报告。研究人员发现，欧盟数字新冠病毒证书以及CDC和NHS新冠病毒疫苗卡的价格已降至100美元。

Check Point Research的研究发现，在超过45万人的群体中，宣传假疫苗验证的群体也在减少。今年3月，该公司之前的一份报告发现，在黑暗网络上伪造疫苗护照的价格约为250美元，欺诈广告也达到了新的水平。

研究人员现在可以发现，美国、英国、德国、希腊、荷兰、意大利、法国、瑞士、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚、澳大利亚，巴基斯坦和印度尼西亚。

对假疫苗护照和卡的需求激增之际，数百家公司正迫使员工和客户在进入办公室或企业之前出示新冠肺炎疫苗接种的证据。

富士通确认其系统上的被盗数据与网络攻击无关在勒索软件攻击期间访问SSN后，加利福尼亚州、亚利桑那州发出了近15万封违规信

推特算法偏见赏金挑战揭示了年龄、语言和肤色问题

HAProxy在发现HTTP请求走私漏洞后敦促用户更新

2023-03-22 10:04:43